Apakah seseorang mencoba meretas ke server saya? Apa yang dapat saya?

12

Beberapa minggu yang lalu saya memposting pertanyaan di sini tentang beberapa sshmasalah yang saya alami dengan kotak Ubuntu 12,04. Maju cepat ke hari ini dan saya mencoba untuk mengizinkan orang lain mengakses mesin, tetapi mereka terus mendapatkan kesalahan kata sandi. Saya checkout var/logs/auth.loguntuk info lebih lanjut, dan menemukan ini:

May 11 19:45:33 myserver sshd[9264]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:38 myserver sshd[9267]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:44 myserver sshd[9270]: Did not receive identification string from 211.110.xxx.x
May 11 19:45:49 myserver sshd[9274]: Did not receive identification string from 211.110.xxx.x

Saya memiliki hampir 10.000 baris yang semuanya sepertinya mengatakan kurang lebih hal yang sama (ada juga 4 file auth.log.gz, yang saya anggap lebih sama?). Terkadang ada nama pengguna acak yang terlampir pada permintaan,input_userauth_request: invalid user bash [preauth]

Saya tidak tahu banyak tentang server, tetapi sepertinya seseorang mencoba untuk mendapatkan akses ke server saya.

Dicari di sekitar untuk cara memblokir alamat IP di Ubuntu dan berakhir dengan ini:, iptables -A INPUT -s 211.110.xxx.x -j DROPtetapi setelah menjalankan perintah itu dan memeriksa log, saya masih mendapatkan permintaan dari IP yang satu ini setiap 5 detik.

Bagaimana saya bisa mengetahui lebih banyak tentang apa yang terjadi dan menangani permintaan konstan ini?

server ssh iptables pengguna2936314
sumber
Denyhosts bagus tetapi perhatikan bahwa ini adalah proyek mati :( Anda harus melihat ke dalam menggunakan iptables askubuntu.com/questions/433924/…
amc

Jawaban:

14

Dari apa yang Anda gambarkan, sepertinya serangan otomatis di server Anda. Sebagian besar serangan adalah, kecuali jika penyerang mengenal Anda secara pribadi dan menyimpan dendam ...

Ngomong-ngomong, Anda mungkin ingin melihat ke dalam denyhosts, yang bisa Anda dapatkan dari repo biasa. Itu dapat menganalisis upaya berulang dan akan memblokir alamat IP mereka. Anda mungkin masih mendapatkan sesuatu di log Anda, tetapi setidaknya akan membantu mengurangi masalah keamanan.

Untuk mendapatkan informasi lebih lanjut, saya benar-benar tidak akan repot. Kecuali mereka seorang amatir, mereka akan menggunakan server jauh untuk melakukan pekerjaan kotor mereka yang tidak akan memberi tahu Anda tentang siapa mereka sebenarnya. Taruhan terbaik Anda adalah menemukan admin untuk rentang IP (WHOIS adalah teman Anda di sini), dan beri tahu mereka bahwa Anda mendapatkan banyak upaya akses dari IP tersebut. Mereka mungkin cukup baik untuk melakukan sesuatu.

Drac Noc
sumber
3
+1. Anda telah membuka port ke Internet luar: orang-orang berusaha mendapatkan akses, tetapi gagal. Itu lebih atau kurang bisnis seperti biasa. Jika Anda memiliki akses ke router hulu, Anda dapat mengaturnya untuk menjatuhkan koneksi dari 211.110.xxx.x sehingga file log Anda sendiri tidak akan terlalu tercemar.
Jos
Saya menambahkan denyhosts dan sekarang log menunjukkan refused connect from...., tetapi saya ingin tahu apakah mendapatkan permintaan omong kosong ini setiap 5 detik bisa menjadi masalah untuk kinerja server nanti? Bagaimana saya tahu jika saya memiliki akses ke router hulu? Saya hanya memiliki akses root
user2936314
2
Dengan router hulu, maksud saya router gateway di rumah Anda sendiri atau jaringan perusahaan yang Anda kelola. Jika Anda tidak tahu, kemungkinan besar Anda tidak memiliki akses ke sana. Menjatuhkan paket bukan merupakan babi kinerja.
Jos
2
Mendapatkan permintaan dari satu IP setiap 5 detik tidak akan memengaruhi kinerja Anda dengan ukuran signifikan apa pun.
Drac Noc
3
Untuk server yang terpapar ke internet (yah, untuk server ssh apa pun), Anda harus mengatur PermitRootLogin nodan PasswordAuthentication nodi / etc / ssh / sshd_config
unhammer
3

Anda tidak ingin melihat upaya login yang gagal ini dalam log Anda sehingga Anda harus memfilter IP ini di jaringan.

Jika Anda memiliki router atau firewall perangkat keras sendiri (bukan yang ada di server) gunakan untuk memblokir IP ini. Anda juga dapat meminta penyedia internet Anda untuk memblokirnya.

Jika server adalah VPS maka minta penyedia VPS Anda untuk memblokir IP ini. Dalam kebanyakan kasus, mereka tidak akan menolak permintaan bantuan Anda, karena tidak ada biaya bagi mereka.

Serangan dari IP tunggal dapat dengan mudah dikurangi dibandingkan dengan serangan yang berasal dari banyak IP yang berbeda. Untuk melindungi dari serangan terdistribusi, Anda memerlukan layanan khusus dari penyedia jaringan yang harus Anda bayar. Pada level server Anda dapat bertarung dengan Denyhosts atau Fail2ban. Fail2ban melindungi tidak hanya ssh tetapi layanan lainnya. Ini menggunakan sedikit lebih banyak memori. Fail2ban menggunakan iptables untuk memblokir IP dan DenyHosts menggunakan file hosts.deny, keduanya menggunakan log untuk menemukan upaya jahat. Anda juga dapat mengkonfigurasi iptables untuk upaya ssh pembatas tingkat yang tidak bergantung pada log.

vladiz
sumber
Apakah ada cara untuk berhenti masuk dari IP ini dari dalam mesin saya?
user2936314
Itu bukan ide yang baik untuk menyaring log Anda. Anda tidak pernah tahu, mereka mungkin beruntung dan Anda akan menginginkan sejarah tertulis penuh tentang apa yang terjadi.
Drac Noc
@ user2936314 Bukan ide yang bagus kok, lebih baik kamu ganti port ssh. Mengubah port bukanlah solusi yang sempurna, tetapi Anda akan menyingkirkan banyak bot. Beberapa dari mereka lebih pintar dan memindai port terbuka. Saya memiliki masalah yang sama dan fail2ban memblokir 20 IP per hari. Setelah mengubah port ssh, saya mengamati penurunan signifikan upaya ssh berbahaya
vladiz
Kalian semua luar biasa. Disarankan membaca untuk admin server intro ke ubuntu? Saya membaca Antarmuka Pemrograman Linux, tetapi sepertinya tidak banyak yang dibahas
user2936314
1
@ user2936314 Periksa dokumentasi resmi , panduan server untuk Ubuntu 12.04 atau versi apa pun yang Anda butuhkan.
vladiz
0

Namun, semua jawaban bagus di atas ...

Anda menulis "Saya mencoba untuk mengizinkan orang lain mengakses mesin, tetapi mereka terus mendapatkan kesalahan kata sandi"

Karena kebanyakan dari kita menggunakan IP dinamis dengan waktu sewa DNS penyedia terbatas, sebagian besar dari kita menggunakan layanan DNS dinamis untuk mengakses server kami ketika berada di jalan. Mungkinkah pengguna jarak jauh Anda juga menggunakan layanan seperti itu untuk sampai ke Anda dan itu adalah alamat IOP yang Anda lihat?

BTW - banyak peretas "port tapping" bergantung pada Anda melakukan apa yang dilakukan oleh banyak pengguna server rumah, yaitu, mereka tidak mengubah id login status pengiriman default. (sering "admin" !!) dan jalankan semua kemungkinan kombinasi kata sandi

David Walker
sumber
Saya memikirkan kasus ini ketika saya pertama kali memperhatikan log. Saya memeriksa dengan orang yang saya tahu sedang mencoba mengakses mesin dan IP-nya tidak cocok dengan yang ada di log. Saya tahu dia juga belum mencoba masuk setiap 5 detik selama berhari-hari. Poin bagus tentang ips dinamis, saya agak khawatir menggunakan denyhostsitu saya akan berakhir mengunci diri sendiri jika / ketika IP saya berubah. Sepertinya akhir pekan saya akan dihabiskan melalui ini [ askubuntu.com/questions/2271/how-to-harden-an-ssh-server] dan dokumen
user2936314
0

Saya pikir Anda akan menemukan bahwa 99% upaya peretasan berasal dari Tiongkok. Ini yang saya temukan. Tidak ada gunanya melaporkan IP Cina untuk peretasan karena itu mungkin sanksi negara. Saya tidak hanya memblokir IP, saya memblokir rentang IP masuk. Gunakan opsi "subnet" pada router Anda atau dengan IPTables pada kotak Linux Anda, gunakan subnet atau "/ bit" (misalnya: / 24). Halaman ini akan memberi Anda daftar blok IP menurut negara (ada file tar.gz dengan semuanya): http://www.ipdeny.com/ipblocks/data/countries . Halaman web WHOIS https://whois-search.com/ memberi Anda awal yang baik untuk melihat negara mana.

Wazza65
sumber
-1

1 Kecuali Anda tidak perlu membuka port standar ke server Anda ke internet. Atur router untuk membuka port acak seperti 53846 dan teruskan ke port mesin tersebut 22.

Peretas peluang dapat memindai berbagai alamat IP untuk port yang dikenal seperti 22 dan mencoba untuk mengeksploitasi.

2 memukulnya kembali. Nmap dia dan cari tahu apa yang dia jalankan. Kemudian cobalah untuk mendapatkan akses ke miliknya. Sama seperti membalas tembakan. Jika dia tahu Anda mendekatinya, dia mungkin berhenti.

Anda juga bisa melakukan ping padanya seperti orang gila seperti tembakan peringatan.

Ketiga Jika Anda ingin bersenang-senang, Anda dapat membuka akun tamu. Pastikan tidak ada hak istimewa sama sekali. Batasi di direktori home tamu. Jika Anda ingin menjadi lucu, Anda dapat mengatur struktur direktori root palsu untuk berkeliling. Atur kata sandi sebagai kata sandi umum atau tidak sama sekali. Biarkan dia masuk.

Kemudian Anda dapat menggunakan perintah tulis dan bertanya kepadanya mengapa dia bersikeras memalu Anda.

Mengenakan
sumber
(1) hanya mengaburkan rute akses, tetapi tidak mengamankannya. (2) ilegal di sebagian besar yurisdiksi. (3) berisiko, karena kesalahan konfigurasi memang terjadi dan kerentanan eskalasi hak istimewa mungkin ada, dan mungkin tidak ada gunanya, karena sebagian besar serangan otomatis dijalankan pada rentang alamat IP, seperti yang Anda tunjukkan sendiri.
David Foerster